Ich glaube, es hackt! Tobias Schrödel Ich glaube, es hackt! Ein Blick auf die irrwitzige Realität der IT-Sicherheit 3., aktualisierte und erweiterte Auflage Tobias Schrödel IT Security & Awareness München Deutschland Die 1. und 2. Auflage sind im Imprint von Springer Gabler erschienen, unter dem Titel: „Hacking für Manager – IT-Sicherheit für alle, die wenig Ahnung von Computern haben.“ ISBN 978-3-658-04245-5 ISBN 978-3-658-04246-2 (eBook) DOI 10.1007/978-3-658-04246-2 Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. Springer Spektrum © Springer Fachmedien Wiesbaden 2011, 2012, 2014 Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Lektorat: Stefanie Brich, Carolin Wolfram Cover-Foto: Tobias Schrödel/Peter Gross Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier Springer Spektrum ist eine Marke von Springer DE. Springer DE ist Teil der Fachverlagsgruppe Springer Science+Business Media www.springer-spektrum.de Inhalt Über den Autor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XVII 1 Vorspiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.1 V on Hackern und Datenschnüfflern – Worum es geht und wie die Spielregeln sind . . . . . . . . . . . 1 1.2 D u kommst aus dem Gefängnis frei – Was der Leser wissen muss . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.3 O ma Kasupke und die Expertenattrappe – Warum IT-Experten im Fernsehen nie die (volle) Wahrheit sagen (können) . . . . . . . . . . . . . . 5 2 Geldkarten & -automaten . . . . . . . . . . . . . . . . . . . . . . . . 9 2.1 E pileptische Karten – Warum Geldkarten im Automaten so ruckeln . . . . . . . . . . . . . . . . . . . . 9 2.2 R ot – Gelb – Geld – Wieso die PIN nicht auf der Geldkarte gespeichert ist . . . . . . . . . . . . . . . . . 10 2.3 D emenzkranker Käse – Wie man sich PINs merken und sogar aufschreiben kann . . . . . . . . . . 13 2.4 H ände hoch, keine Bewegung! – Wie Geldautomaten mit Fehlern umgehen . . . . . . . . . 15 2.5 D urchschlagender Erfolg – Was mit dem Durchschlag eines Kreditkartenbelegs gemacht werden kann . . . . . . . . . . . . . . . . . . . . . . 17 2.6 K ommissar Zufall – Wie die Kartenprüfnummer einer Kreditkarte funktioniert . . . . . . . . . . . . . . . . 19 VI Inhalt 2.7 Dummdreist nachgemacht – Warum Kreditkarten kopieren gar nicht so einfach ist . . . 21 2.8 No hay dinero – Warum man im Ausland nicht immer Geld abheben kann . . . . . . . . . . . . . . 24 2.9 Ganz nah – Wie NFC unser Bezahlverhalten verändern wird . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 3 Office-Anwendungen, Dateien & Betriebssystem . . . . . 27 3.1 A ltpapier und Recycling – Warum gelöschte Dateien gar nicht gelöscht sind . . . . . . . . . . . . . . . 27 3.2 R ohstoffverschwendung im Sinne des Datenschutzes – Wie Dateien wirklich sicher gelöscht werden können . . . . . . . . . . . . . . . 32 3.3 W eitere Informationen finden Sie im Kleinstgedruckten – Was an versteckten Informationen in Word-Dokumenten steht . . . . . 34 3.4 W er hat Angst vorm schwarzen Mann – Wie man anonymisierte Textstellen in PDF-Dokumenten sichtbar macht . . . . . . . . . . . . . 40 3.5 W er lesen kann, ist klar im Vorteil – Wie man mit falschen Fehlermeldungen Schadcode installieren kann . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 3.6 N ichts geht mehr – Ein paar Tipps und Tastenkombinationen, wenn nichts mehr weiter geht . . . . . . . . . . . . . . . . . . . . . . . . . . 45 3.7 T urbolader – Warum der Computer immer langsamer wird und was dagegen hilft . . . . . . . . . 47 3.8 Made in USA – Warum man in sicherheitsrelevanten Bereichen auf Software aus den USA verzichtet . . . . . . . . . . . . . . . . 49 3.9 B ildausfall – Warum es heute wirklich keine Ausrede mehr für ein fehlendes Backup gibt . . . . 50 4 Passwörter & PINs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 4.1 Passwort hacken – Wie schlechte Passwörter geknackt und sichere erstellt werden . . . . . . . . . . 53 Inhalt VII 4.2 8ungH4cker! – Wie man sich sichere Passwörter merken kann . . . . . . . . . . . . . . . . . . . . 58 4.3 Zählwerk – Wie man den gleichen Passwortstamm in verschiedenen Systemen variieren kann . . . . . . . . . . . . . . . . . . . . . 60 4.4 Seltene Zeichen – Wie man sein Passwort noch aufwerten kann . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 4.5 Honigtöpfe – Wie man Ihnen Login-Daten klaut und was Sie dagegen tun können . . . . . . . . 62 4.6 Das Übel an der Wurzel – Wie man erkennt, ob Passwort-Safes gut sind . . . . . . . . . . . . . . . . . . . . . 65 4.7 Erst eingeschleift, dann eingeseift – Warum selbst gute Passwörter gegen KeyKatcher keine Chance haben . . . . . . . . . . . . . . . . . . . . . . . . 68 4.8 Der Wurm im Apfel – Wie man an der PIN- Eingabe von iPad und iPhone vorbei kommt . . . . 71 5 Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 5.1 Zahlenspiele – Was in einer Minute im Internet alles passiert . . . . . . . . . . . . . . . . . . . . . . . 75 5.2 Empfänger Unbekannt – Wie man anyonym im Internet surfen kann . . . . . . . . . . . . . . . . . . . . . . . . 77 5.3 Dioptrin und Farbenblindheit – Was sind Captchas und wie funktionieren sie . . . . . . . . . . . 80 5.4 Schlüssel steckt – Warum man keine Passwörter im Browser speichern sollte . . . . . . . . . 82 5.5 Zahlung sofort, ohne Skonto – Wie Abofallen im Internet funktionieren . . . . . . . . . . . . . . . . . . . . 85 5.6 640 Sextillionen – Warum IP V6 nicht nur Probleme löst . . . . . . . . . . . . . . . . . . . . . . . . . . 89 5.7 .berlin .berlin Wir surfen nach .berlin – Was man bei den neuen Webseiten- Endungen beachten sollte . . . . . . . . . . . . . . . . . . . 92 5.8 Erst gucken, dann anfassen – Wie ein Link im Internet manipuliert werden kann . . . . . . . . . . 95 VIII Inhalt 5.9 Drive-by – Wie man sich Viren beim Surfen einfängt und was man dagegen tun kann . . . . . . 98 5.10 Ob groß, ob klein – Warum es im Internet meistens egal ist, ob man Groß- oder Kleinschrift verwendet. . . . . . . . . . . . . 101 5.11 Aussage gegen Aussage – Warum man nicht jede Aussage glauben sollte, die irgendwie geschrieben steht. . . . . . . . . . . . . . . 103 5.12 Es wiehert auch im Internet – Warum ein DSL-Anschluss eigentlich nie so schnell ist, wie drauf steht . . . . . . . . . . . . . . . . . . . 105 5.13 Gerührt, nicht geschüttelt – Was der Unterschied zwischen Trojaner, Virus und Computerwurm ist. . . . . . . . . . . . . . . . . . . . . . 106 5.14 Dunkel und tief – Was das Darkweb (Deepweb) ist. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 6 Online-Shopping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 6.1 A lles, außer Tiernahrung – Wie man kostengünstig(er) im Internet einkaufen kann . . . 111 6.2 R ückgaberecht – Warum das Widerrufsrecht auch Nachteile für die Kunden birgt . . . . . . . . . . . 114 6.3 E s kracht – Wie Fake-Shops funktionieren. . . . . . . 116 6.4 W eihnachtseinkäufe – Wie man betrügerische Online-Shops erkennen kann . . . . . 118 6.5 A uf Pump – Warum gute Online-Shops Ihre Kreditkartendaten gar nicht haben wollen. . . . . . 121 6.6 P ersonalisierte Werbung – Warum personalisierte Werbung wirtschaftlich positiv, ansonsten aber negativ ist . . . . . . . . . . . . . 122 7 Google, Facebook & Co. . . . . . . . . . . . . . . . . . . . . . . . . . . 125 7.1 N achmacher – Warum Google gar nicht innovativ ist, wie wir immer glauben. . . . . . . . . . . 125 7.2 G olf ist nicht gleich Golf … – Wie Google anonyme Suchanfragen personalisiert. . . . . . . . . . 126 Inhalt IX 7.3 BigBrother ohne Container – Wie Google hilft, fremde Wohnzimmer auszuspionieren . . . . . . . . . 129 7.4 Heiße Hunde – Wie sich Suchmaschinen in den nächsten Jahren verändern werden . . . . . . 131 7.5 Das Schaf im Wolfspelz – Warum Facebook total überbewertet ist . . . . . . . . . . . . . . . . . . . . . . . 133 7.6 Gartenparty – Wer haftet eigentlich, wenn die Tochter über Facebook die ganze Welt einlädt. . . 135 7.7 Mag ich nicht – Warum es bei Facebook einen „Like“-Button gibt und keinen „Dis-Like“ . . . . . . 136 7.8 Ali Baba und die 1.000 Freunde – Eine Anregung für hilflose Eltern beim Umgang mit ihren Kindern und Facebook . . . . . . . . . . . . . . 138 7.9 Ausgesperrt – Wie man ohne Passwort fremde Facebook-Accounts kapert und wie man das verhindert . . . . . . . . . . . . . . . . . . . . . . . . . 139 7.10 Der König ist tot, es lebe der König – Wie man Facebook-Freunde kaufen kann und erkennt, wer das getan hat. . . . . . . . . . . . . . . 142 8 Online-Banking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 8.1 D er Bankschalter im Wohnzimmer – Wie sicher ist Online-Banking mit PIN und TAN . . . . . . 145 8.2 E in Elektron, was kann das schon? – Was man benötigt, um eine sichere Verbindung zu knacken. . . . . . . . . . . . . . . . . . . . . . 147 8.3 D er unbekannte Dritte – Wie eine Man-in- the-Middle-Attacke funktioniert . . . . . . . . . . . . . . 148 8.4 S icherheitsgetreide – Wie die sichere Schlüssel-Übergabe beim Online- Banking funktioniert. . . . . . . . . . . . . . . . . . . . . . . . 151 8.5 T he revenge of the Sparkasse – Wie sich Banken gegen Phishing wehren. . . . . . . . . . . . . . . 153 8.6 Z ufällig ausgewählt – Wie die iTAN funktioniert und warum sie eingeführt wurde . . . 155 X Inhalt 8.7 Mobiler Hilfssheriff – Was die mTAN besser kann als die iTAN . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 8.8 Verkehrte Welt – Was sich beim sicheren Online-Banking für Sie ändert . . . . . . . . . . . . . . . . 160 8.9 Doppelt hält besser – Wie es gelungen ist, das mTAN-Verfahren kaputt zu machen . . . . . . . . 162 8.10 Im Sandkasten – Wie mit einer kleinen Änderung das mTAN-Verfahren doch wieder sicher ist . . . . . . . . . . . . . . . . . . . . . . . 165 8.11 Rücküberweisung – Welche raffinierten Tricks angewendet werden, um an Ihr Geld zu kommen . . . . . . . . . . . . . . . . . . . . . . . . 167 8.12 Schnäppchenjäger – Warum WesternUnion Moneytransfer und ähnliche Dienste keine Überweisungen sind . . . . . . . . . . . . . . . . . . . 169 9 E-Mail & Spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 9.1 B lutleere Gehirne – Wieso wir SPAM-Mails bekommen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 9.2 L eicht drauf, schwer runter – Wie man keine SPAM-Mails mehr bekommt . . . . . . . . . . . . . 175 9.3 E lektronische Postkarte – Warum E-Mails wie Postkarten sind . . . . . . . . . . . . . . . . . . . . . . . . . 177 9.4 C hance verpasst – Was Facebook und verschlüsselte E-Mails gemeinsam haben . . . . . . . 180 9.5 I ch sehe was, was Du nicht siehst – Wie man Adressen bei Rundmails eingibt . . . . . . . . . . 181 9.6 N icht lesen! – Was von Datenschutz- Klauseln am Ende einer Mail zu halten ist . . . . . . 184 9.7 U rlaub – Was eine Abwesenheitsnotiz für Informationen enthalten sollte . . . . . . . . . . . . 185 9.8 R otwein – Wo das @-Zeichen in der E-Mail ursprünglich herkommt . . . . . . . . . . . . . . . 187 10 WLAN & Funknetze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 10.1 Never Touch a Running System – Welches die richtige WLAN-Verschlüsselung ist . . . 189